Com nova ameaça, cibercriminosos enriquecem de forma discreta

Imagine que você veja um banner de anúncio, te convidando a baixar uma aplicação que lhe interessa. Vários dias após a instalação, você começa a suspeitar que algo está errado – seu dispositivo está aquecendo e está funcionando devagar, mas você não consegue descobrir o motivo.

Muito provavelmente, seu dispositivo foi comprometido por um trojan móvel, usado com propósitos maliciosos – ataques de negação de serviço (DDoS), cobranças indevidas etc. Os pesquisadores da Kaspersky Lab identificaram um novo e intrigante malware móvel com vários módulos, o que permite um número quase infinito de recursos maliciosos – desde a mineração de moeda criptográfica até ataques DDoS. Devido à sua arquitetura modular, ainda podem ser adicionadas mais funções. Esse incomum e poderoso software malicioso é chamado de Loapi.

Ele se destaca entre os vários códigos maliciosos para Android que possuem apenas uma função, incluindo trojans bancários, trojans de mineração criptográfica etc., porque possui funções singulares e uma arquitetura modular complexa que lhe permite realizar ações quase ilimitadas em um dispositivo comprometido.

Como se espalha?

O Trojan Loapi está sendo disseminado por campanhas publicitárias, disfarçado como soluções antivírus ou de aplicativos para adultos. Uma vez instalados, os aplicativos solicitam direitos de administrador no dispositivo e, em seguida, iniciam discretamente comunicações com servidores de comando e controle para instalações de módulos adicionais. A arquitetura inclui os seguintes módulos:

• Módulo Adware – usado para a exibição agressiva de publicidade no dispositivo do usuário;
• Módulo SMS – usado pelo malware para executar várias operações com mensagens de texto
• Módulo de rastreador da Web – usado para cadastrar usuários em serviços pagos sem que eles saibam. O módulo SMS esconde as mensagens do usuário, responde-as conforme necessário e, em seguida, remove todas as “evidências”;
• Módulo Proxy – permite que os invasores executem solicitações HTTP em nome do dispositivo. Essas ações podem ser realizadas para ataques DDoS;
• Módulo minerador de Monero – usado para minerar a criptomoeda Monero (XMR).

Além disso, uma vez comprometido, não é fácil excluir o aplicativo e retornar seu dispositivo ao modo de operação normal – o Loapi tem a capacidade de se auto proteger. Assim que você tentar revogar os direitos de administrador do malware, ele irá bloquear a tela do dispositivo e fechar a janela.

Além disso, o Loapi pode receber uma lista de aplicativos que podem tentar desinstalá-lo, vinda dos servidores de comando e controle – muitas vezes são soluções de segurança, que pretendem remover o malware. Se um aplicativo instalado ou em execução estiver na lista, o Trojan mostra uma mensagem falsa dizendo que um software mal-intencionado foi encontrado e que oferece ao usuário a chance de remover o aplicativo. A mensagem é mostrada em um loop, portanto, mesmo se você se recusar a excluir o aplicativo no início, a mensagem será exibida novamente até você finalmente concordar.

Os testes em um smartphone selecionado aleatoriamente demonstraram que o malware cria uma carga de trabalho tão pesada em um dispositivo infectado, que ele chega a aquecer muito a ponto de deformar a bateria. Os autores do malware não teriam desejado que isso acontecesse, pois querem a todo custo dinheiro e por isso manter o malware em funcionamento. Mas a falta de atenção à otimização do malware levou a este inesperado “vetor de ataque” físico e, possivelmente, danos sérios aos dispositivos do usuário.